Bei einer Cyber-Attacke auf die Internetseite des Süddeutsche Zeitung Magazins sind hochwahrscheinlich auch die Daten von Nutzern erbeutet worden. Jemand soll sich Mitte dieses Monats Zugriff auf einen Datenbankserver des SZ-Magazins verschafft haben, bestätigte der Verlag heute.

Außer der Email- und Postadresse der Kunden standen in der gehackten Datenbank auch verschlüsselte Passwörter. Sie wurden als kryptologische Hashwerte gespeichert. Weil es aber trotzdem möglich sei, insbesondere einzelne Passwörter zu knacken, forderte der Verlag betroffene Kunden auf, ihre Zugangsdaten jetzt zu ändern.

Schwachstellen wurden geschlossen

Da nicht bekannt ist, wie die Hashes erzeugt wurden, läßt sich die Gefährdung der Paßwörter kaum abschätzen. Genauere Angaben, ob es sich dabei etwa um sehr einfach zu knackende, ungesalzene SHA1-Hashes oder um ein wirklich sicheres Verfahren wie PBKDF2 oder bcrypt handelt, machte die SZ nicht.

Der Angriff erfolgte angeblich über Blogseiten beziehungsweise Blogfunktionen, die inzwischen deaktiviert wurden. „Dadurch wurden die für den Angriff verantwortlichen Schwachstellen geschlossen. Erneute Angriffsversuche wurden daraufhin nicht mehr festgestellt.“ Betroffene Nutzer seien per Email über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden.